02.08.2023
Es gibt nichts zu beschönigen: Die Cybersicherheitslage in Deutschland und Europa bleibt angespannt. Täglich wird von neuen Angriffen berichtet, Cyberattacken sind systematisch und erfolgen unter Einsatz moderner Tools. Daher ist gerade der Schutz von kritischen Infrastrukturen (KRITIS) unabdinglich, damit die Funktionsfähigkeit des Gemeinwesens und der Wirtschaft nicht massiv und anhaltend beeinträchtigt wird. Jens Westphal, Cybersecurity-Experte bei msg, erläutert im Interview, wie das KRITIS-Dachgesetz die Sicherheit und Resilienz von KRITIS-Betreibern stärken soll, was dies für die entsprechenden Organisationen und ihre Zulieferer bedeutet und welche Maßnahmen es jetzt zu ergreifen gilt.
Zum Einstieg die vielleicht offensichtlichste Frage: Hat der KRITIS-Dachgesetzentwurf etwas mit der angespannten geopolitischen Situation zu tun?
Jens Westphal: Das ist eher ein zeitlicher Zufall – auch wenn es natürlich richtig und wichtig ist, dass wir unserer Cybersicherheit aktuell mehr Aufmerksamkeit widmen. Tatsächlich hat die Digitalisierung sogar in Nachzügler-Ländern mittlerweile eine Durchdringung erreicht, die einen strikter strukturierten Schutz dringend notwendig macht. Gleichzeitig ist ein besserer Schutz auch eine Voraussetzung für die weitere Digitalisierung und Vernetzung. Das ist das gleiche Konzept wie bei Krankheitserregern: Ist eine große Masse an Menschen immun und geschützt bevor sie physisch zusammenkommt, hat ein Krankheitserreger es schwerer, sich durchzusetzen.
Wenn Unternehmen und Institutionen sich also miteinander vernetzen, sollte jeder Einzelne für größtmögliche Sicherheit sorgen. Das gilt nicht nur für Deutschland – obwohl kritische Infrastrukturen meist eher national aufgestellt sind. Der KRITIS-Dachgesetzentwurf der Bundesregierung entstand in Reaktion auf die Critical-Entities-Resilience-Richtlinie der EU. In einem Wirtschaftsraum, der so eng miteinander vernetzt ist, wie die Europäische Union, müssen letztendlich alle dafür sorgen, mögliche Einfallstore für Cyberkriminelle zu schließen.
Hier soll das KRITIS-Dachgesetz ansetzen, das ja eine Ausweitung bestehender Sicherheitsmaßnahmen vorsieht. Was müssen KRITIS-Betreiber und ihre Partner dann stärken oder sogar neu implementieren?
Mit dem Dachgesetz rücken vor allem die folgenden zwei Faktoren stärker in den Fokus: Angriffserkennung und das Business-Continuity-Management. In den vergangenen Monaten und Jahren haben wir immer wieder von Angriffen gehört, die erst Monate nach dem Einbruch ins System entdeckt wurden. Cyberkriminelle hatten also sehr lange Zeit, um sensible Daten zu stehlen, zu löschen oder in Geiselhaft zu nehmen. Angriffserkennungssysteme, machen genau das, was ihr Name sagt: Sie erkennen Angriffe oder bereits deren Vorstufen und machen die Verantwortlichen umgehend darauf aufmerksam. Wenn ein Angriff als solcher erkannt wird, müssen üblicherweise schnelle und wirkungsvolle Maßnahmen bis hin zur Außerbetriebnahme einzelner Komponenten ergriffen werden. Besonders wichtig ist aber auch, dass nach einem Ausfall von kritischen Infrastrukturen der Betrieb schnellstmöglich wiederhergestellt werden kann. Hier beginnt das Business-Continuity-Management: Es ist die Pflicht von KRITIS-Betreibern, dafür zu sorgen, dass der Ausfall von Infrastrukturen eine gewisse tolerierbare Höchstdauer nicht überschreitet. Dafür sollten vom Gesetz betroffene Unternehmen präzise Prozesse und Zuständigkeiten definieren, die im Ernstfall reibungslos funktionieren müssen.
Das klingt nach Investition, deren Ausmaß Unternehmen keinesfalls unterschätzen sollten – kommt es dadurch zu Wettbewerbsnachteilen?
Hier gilt „Safety first“ – die Sicherheit des Gemeinwesens und der Bevölkerung lässt sich nicht mit Geld aufwiegen. Für Unternehmen aber sicherlich dennoch beruhigend zu hören: Es ist nicht von finanziellen Benachteiligungen auszugehen. Da das deutsche Gesetz aus einer EU-Richtlinie hervorgeht, müssen alle EU-Länder ähnliche Gesetze verabschieden. Das bedeutet, dass alle direkten Wettbewerber in der Europäischen Union ähnliche Anforderungen erfüllen müssen. Betriebe, die neu in die Pflicht genommen werden, dürfen jedoch nicht nur an die finanziellen Ressourcen denken, die erforderlich sind. Sie müssen darüber hinaus berücksichtigen, dass gerade vor dem Hintergrund des andauernden Fachkräftemangels oftmals das nötige Personal fehlt und am Markt auch nicht beschaffbar ist. Betriebe sollten sich also schnellstmöglich entsprechend aufstellen und den Aufbau der benötigten Sicherheitsinfrastruktur auch über externe Experten unterstützten lassen.
Zum Abschluss die Frage: Welche Handlungsempfehlungen würden Sie allen KRITIS-Betreibern mitgeben?
Das möchte ich gerne direkt einordnen: Wir haben zwar über KRITIS-Betreiber gesprochen, aber eigentlich sollten sich alle Unternehmen das Thema IT-Sicherheit zu Herzen nehmen. Viel zu oft beschäftigt sich die Geschäftsführung erst intensiv damit, wenn es bereits zu Vorfällen gekommen ist – also erst, wenn sie selbst oder ein bekanntes Unternehmen ihrer Branche erfolgreich angegriffen wurde und Schäden erlitten hat. Hier gilt: Prävention ist die beste Medikation. Wer sich frühzeitig vorbereitet, schützt sich vor bösen Überraschungen und bleibt handlungsfähig, falls doch etwas passieren sollte.
Die wichtigsten Präventivmaßnahmen lassen sich in ein paar einfache Schritte aufteilen: Zunächst sollten alle Unternehmen, die im Umfeld kritischer Infrastrukturen tätig sind prüfen, ob sie vom KRITIS-Dachgesetz betroffen sind. Dazu zählen also vor allem auch Dienstleister und Lieferanten von Betreibern kritischer Infrastrukturen. Wer bisher noch nicht betroffen war, es aber demnächst sein wird, sollte schnellstmöglich die notwendigen Sicherheitssysteme, nämlich Information-Security-Management-Systems, kurz ISMS, implementieren. Die gehören zur KRITIS-Grundausstattung. Für alle vom Gesetz Betroffenen ist es zudem wichtig, das passende Angriffserkennungssystem und ein stabiles Business-Continuity-Management aufzubauen. Zuletzt gilt für alle Unternehmen, ob KRITIS oder nicht: Vor dem Hintergrund der angespannten Sicherheitslage müssen alle Mitarbeitenden gründlich und kontinuierlich sensibilisiert werden. Es ist davon auszugehen, dass nach und nach alle Unternehmen verstärkt in die Pflicht genommen werden. Unsere Liefer- und Wertschöpfungsketten sind so komplex und engmaschig, dass die meisten Unternehmen um ein paar Ecken miteinander vernetzt sind – und jeder Einzelne ist erst sicher, wenn wir alle geschützt sind.